微软表露加密挟制歹意软件Dexphot,已感染近80000台装备 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

申博_新闻事件 申博 56次浏览 已收录 0个评论

2018年10月,微软检测到歹意挖矿软件Dexphot的大规模分发行动。Dexphot应用了种种庞杂的要领来回避平安解决方案,包括多层殽杂、加密和随机文件名来隐蔽装置历程,应用无文件手艺在内存中直接运转歹意代码,挟制正当的体系历程来掩饰歹意运动。Dexphot终究目的是在装备上运转加密钱银发掘顺序,当用户试图删除歹意软件时,监控效劳和预定使命会触发二次感染。

微软示意自2018年10月以来不停有Windows装备受到感染,并在本年6月中旬到达峰值的8万多台,自微软布置进步检测率的相干战略和进击阻挠后,天天感染的装备数目入手下手逐步下落。

庞杂的进击链

Dexphot感染的初期阶段触及很多文件和步骤。在实行阶段,Dexphot首先将五个症结文件写入磁盘:

1、装置顺序,带有两个下载歹意payload的链接

2、MSI包文件,从装置顺序个中一处链接处下载

3、一个加密ZIP存档文件

4、加载顺序DLL,从加密存档文件中提取

5、加密数据文件,包括三个分外的可实行文件,经由过程process hollowing加载到体系历程中

除装置顺序外,实行时期运转的其他历程是正当的体系历程,包括msiexec.exe(用于装置MSI软件包),unzip.exe(用于从受暗码庇护的ZIP存档中提取文件),rundll32.exe(用于加载加载顺序DLL),schtasks.exe(用于设计使命),powershell.exe(用于强迫更新),应用正当体系历程让检测修复变得越发难题。在以后阶段中,Dexphot也会以其他一些体系历程为目的来举行process hollowing,比方svchost.exe,tracert.exe和setup.exe。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

多层回避机制

Microsoft Defender ATP显现,Dexphot装置顺序由SoftwareBundler:Win32/ICLoader及其变体植入运转,装置顺序带有两个下载歹意payload的链接,之所以这么做是为了竖立持久性的机制。

装置顺序从个中一处链接下载MSI顺序包,启动msiexec.exe实行寂静装置。这是Dexphot应用 living-off-the-land(“LOLBin”,指进击者应用正当的二进制文件举行隐蔽的歹意运动)手艺的第一处实例。

Dexphot的装置包平常都有一个殽杂的批处理剧本,msiexe .exe在入手下手装置历程时会优先运转此剧本,目的是搜检防病毒产物。假如发明防病毒产物正在运转,Dexphot会马上住手感染历程。

当我们刚入手下手研讨时,此剧本仅搜检Avast和AVG的防病毒产物,厥后Windows Defender Antivirus也被添加到名单中。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

假如歹意历程能继承运转,Dexphot将从MSI包解压ZIP加密存档文件,暗码在MSI包中。除了暗码以外,包中另有一个清洁的unzip.exe,如许就没必要依赖于目的体系的ZIP实用顺序了。为了防备细致搜检,包中的unzip.exe文件常被命名为差别的称号,比方z.exe或exe .exe。

ZIP归档文件平常包括了三个文件:加载顺序DLL、加密的数据文件(平常命名为bin.dat),平常还包括一个清洁且不相干、大概用于误导检测的DLL。

Dexphot平常会将解压的文件提取到目的体系的“Favorites”文件夹中,并对依据实行时候对文件重命名,比方C:\Users\<user>\Favorites\\Res.Center.ponse\<numbers>。重命名的敕令也是殽杂的,以下图所示:

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

Msiexec.exe接下来挪用rundll32.exe,指定加载顺序DLL(在本例中为urlmon.7z)来解密数据文件。解密历程触及应用二进制中硬编码的密钥,举行ADD和XOR操纵。

解密的数据包括三个可实行文件,与前面形貌的文件差别,这些可实行文件永久不会写入文件体系,它们仅存在于内存中,Dexphot经由过程process hollowing将它们加载到其他体系历程中来运转。

经由过程无文件手艺隐蔽实行

Process hollowing是一种可以将歹意软件隐蔽在正当体系历程中的手艺,它用歹意代码来替代正当历程的内容。应用这类要领检测隐蔽的歹意代码并非易事,因而process hollowing已成为现今歹意软件广泛应用的手艺。

此要领的另一个长处是无文件:可以运转代码,而无需现实将其保存在文件体系上。在运转历程当中,不仅很难检测到歹意代码,而且在历程住手后也很难找到有用的取证东西。

要启动process hollowing,加载顺序DLL以挂起状况生成两个正当的体系历程(比方svchost.exe或nslookup.exe),并用第一个和第二个解密的可实行文件替代掉这些历程的内容。这些可实行文件是看管效劳,用于庇护Dexphot的组件。以后将歹意历程将从挂起状况中开释并运转。

接下来,加载顺序DLL以SysWoW64中的setup.exe文件为目的,将setup.exe的内容删除,并将其替代为第三个解密的可实行文件——加密钱银矿机。在我们的研讨历程当中,发明Dexphot有应用XMRig、JCE Miner等差别的矿机。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

按期更新完成持久性

Dexphot有两个看管效劳,能同时搜检三个歹意历程的状况,两个看管效劳的目的是当个中一个看管效劳住手时,另一个也能发挥作用。假如有历程被停止,则监控器将马上辨认状况,停止一切盈余的歹意历程,然后从新感染装备。这类强迫更新/从新感染历程由PowerShell敕令启动,以下所示:

Windows内核漏洞利用

堆栈缓冲区溢出 在第一部分中,我们会从HackSysExtremeVulnerableDriver中的普通堆栈缓冲区溢出开始。 当堆栈上存在的缓冲区获取的数据超出其存储容量时(例如,在一个16字节缓冲区中复制20个字节,就可以是字符数组或类似对象),其余数据将写入附近位置,从而有效覆盖或破坏堆栈。 其核心思想是控制此溢出,这样我们可以覆盖堆栈上保存的返回地址,并且在执行当前(易受攻击的)函数后,它将返回我们的覆盖值,其中包含我们的shellcode。 注意:执行完shellcode后,代码执行必须返回到应用程序,在本例中是内核,否则将破坏应用程序。通常,应用程序崩溃了,我们可以重新启动它,但是如果内核

看管组件还可以检测新启动的cmd.exe历程并马上将其停止。作为终究的毛病庇护,Dexphot应用schtasks.exe建立设计使命,敕令以下所示:

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

这类持久性手艺很风趣,因为它采纳了两种判然差别的MITER ATT&CK手艺:设计使命和署名二进制代办实行。

设计使命将msiexec.exe作为代办运转歹意代码,就像在装置历程当中应用msiexec.exe一样。应用正当体系历程msiexec.exe大概会更难跟踪歹意运动的泉源。

别的,这些使命使Dexphot可以在每次使命运转时方便地从Web端更新payload,它们会在体系从新启动时以及体系运转时每90或110分钟自动更新Dexphot的一切组件。

Dexphot还会在运转时生成使命的称号,这意味着简朴的硬编码使命称号阻挠列表将没法有用阻挠它们运转。称号平常采纳GUID花样,就在微软宣布了第一轮Dexphot要挟庇护后,创作者入手下手转为应用随机字符串。

别的,关于设计使命,创作者还应用了另一种回避手艺:某些Dexphot变体将msiexec.exe复制到恣意位置,并为其指定一个随机称号,如%AppData%\<random>.exe。这使得运转歹意代码的体系历程成为挪动目的。

多样性

Dexphot在其散布的二进制文件中展现了多层多样性。比方运动中应用的MSI包,包括的文件以下表所示,如上所述,MSI包平常包括一个清洁的解压版本、一个有暗码的ZIP文件和一个用于搜检防病毒产物的批处理文件。但批处理文件并不老是存在,ZIP文件称号、加载顺序 DLL的称号,以及解压ZIP文件的暗码也充溢着变化。

别的,每一个加载顺序DLL的内容因软件包而异,ZIP文件中包括的加密数据也有所差别。每次进击者将文件绑缚在一起时,都邑生成差别的ZIP存档,进而生成唯一的MSI软件包。因为这些精心设计的变化,传统的基于文件的检测要领对Dexphot无效。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

大批主机托管payload

除了跟踪Dexphot用于实行进击的文件和历程以外,我们还一直在看管用于托管歹意有用负载的域。用于托管的域名地点平常以.info或.net TLD末端,而现实有用负载文件名则由随机字符构成,类似于先前所看到的用于生成文件名和设计使命的随机性。下表列出了我们研讨的一些例子。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

列出的很多链接都被应用过很长时候了,但每一个URL上托管的MSI软件包都经常被变动或更新,域的数目也是在不停补充更新。经由几个月的看管,我们可以辨认约莫200个唯一的Dexphot域。

结论:动态、周全的防备步伐,可以应对日趋庞杂的一样平常要挟

Dexphot不是那种能引发主流媒体关注的进击范例,它只是在任何特定时候都处于运动状况的无数歹意软件个中之一。它的目的也异常广泛——悄无声息装置一个盗取计算机资本并为进击者制造收入的加密钱银挖矿机,但Dexphot的涌现也证明了这类一样平常广泛的要挟正变得愈来愈庞杂,发展速度也愈来愈快。

为了抵抗要挟,Microsoft Defender Advanced Threat Protection的防病毒组件中的下一代庇护引擎会在进击链上的多个位置检测并阻挠歹意手艺。关于Dexphot,云中基于机械进修的检测可以辨认并阻挠rundll32.exe加载的DLL,从而在初期阶段住手进击链。内存扫描可检测并停止由process hollowing隐蔽的歹意代码的加载,包括尝试经由过程PowerShell敕令更新歹意软件代码并从新感染计算机的看管历程。

行动阻挠和停止功用在战胜Dexphot的无文件手艺,回避检测和持久性机制(包括按期和启动时尝试经由过程设计使命更新歹意软件)方面迥殊有用。如前所述,考虑到进击链和Dexphot持久性要领的庞杂性,我们宣布了一种弥补解决方案,该解决方案可经由过程消弭工件来防备再次感染。

行动阻挠和功用停止在击败Dexphot的无文件手艺、检测躲避和持久性机制方面特别有用,包括经由过程设计的使命按期和指导时尝试更新歹意软件。如前所述,考虑到进击链和Dexphot的持久性要领的庞杂性,我们宣布了一个修复解决方案,经由过程删除某些不见来防备二次感染。

微软表露加密挟制歹意软件Dexphot,已感染近80000台装备

IoC

装置顺序(SHA-256):

72acaf9ff8a43c68416884a3fff3b23e749b4bb8fb39e16f9976643360ed391f

MSI文件 (SHA-256):

22beffb61cbdc2e0c3eefaf068b498b63a193b239500dab25d03790c467379e3

65eac7f9b67ff69cefed288f563b4d77917c94c410c6c6c4e4390db66305ca2a

ba9467e0d63ba65bf10650a3c8d36cd292b3f846983032a44a835e5966bc7e88

加载顺序DLLs  (SHA-256):

537d7fe3b426827e40bbdd1d127ddb59effe1e9b3c160804df8922f92e0b366e

504cc403e0b83233f8d20c0c86b0611facc040b868964b4afbda3214a2c8e1c5

aa5c56fe01af091f07c56ac7cbd240948ea6482b6146e0d3848d450977dff152

本文翻译自:https://www.microsoft.com/security/blog/2019/11/26/insights-from-one-year-of-tracking-a-polymorphic-threat/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明微软表露加密挟制歹意软件Dexphot,已感染近80000台装备
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址